🛡 概要
DanaBotが法執行「Operation Endgame」による5月のインフラ撹乱から約6カ月を経て再始動しました。Zscaler ThreatLabzは新ビルド「v669」を観測し、Torの.onionドメインと“backconnect”ノードを備えた新しいC2基盤を確認しています。DanaBotは当初、Delphi製のバンキング型トロイの木馬として登場し、現在はモジュール式のインフォスティーラー/ローダーとして、ブラウザ保存の認証情報や暗号資産ウォレット関連データを狙います。初期侵入は悪性メール(リンク/添付)、SEOポイズニング、マルバタイジングが典型で、一部はランサムウェア侵入の踏み台になりました。防御側はZscaler公開のIoCをブロックリストに取り込み、検知と封じ込めを強化してください。
🔍 技術詳細
今回のv669はTor上の.onionを用いたC2と、オペレータが被害端末へ逆接続させる“backconnect”ノードで再構築されています。これにより、通常のIP評判ベースの遮断やSNI可視化を回避しつつ、オニオンサービス経由で安定したコマンド運用が可能になります。Zscalerは窃取資金の受け取りに使われる複数の暗号資産アドレス(BTC/ETH/LTC/TRX)も列挙しています。初期侵入は(1)メールの添付/リンクから実行ファイル・スクリプト・LNK等を起動、(2)検索結果に悪性ダウンロードサイトを紛れ込ませるSEOポイズニング、(3)偽広告経由のダウンロード(マルバタイジング)などが観測されます。モジュール式のため、ローダーが実行後に機能拡張を段階的に取得し、情報窃取(ブラウザのLogin Data/Cookies/Firefoxのlogins.json・key4.db、拡張機能のウォレットデータ等)、C2維持、プロキシ/トンネル確立などを行います。過去のDanaBot系ではレジストリRunキーやスケジュールタスクによる永続化、rundll32やPowerShell/WMIC/Reg/Schtasks等のLOLBins悪用、プロセスインジェクションやSOCKS型のバックコネクトが一般的でした。v669個別の永続化・インジェクション実装はベンダ分析を要しますが、TorベースC2とbackconnectという運用特性から、ネットワーク側の可視化・遮断がより困難になっている点は確実です。CVSSは製品脆弱性ではないため該当しません。
⚠ 影響
・認証情報(SaaS/企業ポータル/ブラウザ保存パスワード)と暗号資産ウォレット情報の窃取による不正送金、二次侵害
・IAB(初期侵入ブローカー)へのアクセス販売を通じたランサムウェア横展開
・Tor利用により帰属分析・ブロックの難易度が上昇し、対応コストが増加
🛠 対策
・Zscaler公開IoC(ハッシュ、Tor .onion、backconnectノード)をブロック/検知に投入
・メール/WEB経由対策:CIS Control 9(ブラウザ/メール保護)に沿い添付・LNK・VBS/JSの受信制御、広告配信ドメイン/カテゴリの厳格化、検索連動広告の禁止ポリシー検討
・アプリ制御:ASRルール(Officeからの子プロセス起動・マクロ悪用抑止)、PowerShell Constrained Language Mode、Applocker/WDACでLOLBins乱用抑止
・ネットワーク:TorリレーIPとSocks標準ポート(9050/9150/9051等)のEgress制御、未知TLSのSSL検査(法規とプライバシーに配慮)
・資格情報保護:ブラウザのパスワード保存を最小化、FIDO2/MFA徹底、特権アカウントの分離保管
・EDR/AV:プロセスインジェクション、ブラウザDB(Login Data/Cookies等)への異常アクセス、rundll32/Reg/Schtasksの濫用検知シグネチャ更新
📌 SOC視点
・プロセス作成(Sysmon EID 1/Windows 4688)でOffice/PDFビューア→powershell/cmd→rundll32/reg/schtasksへの不審チェーン
・スケジュールタスク作成(Security 4698、タスクスケジューラOperational/140,106)とRunキー変更(Sysmon 13/Registry)
・ローカルSocks待受やTor関連アーティファクト:プロセス名(tor.exe, obfs4proxy等)、127.0.0.1:9050/9150/9151への接続、Torリレーへの長時間TLSセッション(Sysmon 3)
・ブラウザ資格情報ファイルへのアクセス(Sysmon 11/15):Chromeの”%LocalAppData%\Google\Chrome\User Data\Default\Login Data”やFirefoxの”logins.json”,”key4.db”を非常駐プロセスが開く挙動
・モジュール取得:新規DLL/EXEの%AppData%/%LocalAppData%配下作成と即時実行、署名なしネットワーク通信の相関
・暗号資産送金兆候:社内から既知の受取アドレス(Zscaler公表)へのアクセスやウォレット拡張の異常通信
📈 MITRE ATT&CK
・Initial Access: T1566.001/002(スピアフィッシング添付/リンク)根拠=観測されるメール経由配布
・Initial Access: T1189(Drive-by Compromise)根拠=マルバタイジングでの不正ダウンロード
・Resource Development: T1608.006(Search Engine Optimization)根拠=SEOポイズニングで検索結果を操作
・Credential Access: T1555.003(Credentials from Web Browsers)根拠=ブラウザ保存情報の窃取
・Persistence: T1547.001(Registry Run Keys/Startup Folder)、T1053.005(Scheduled Task)根拠=過去系列の一般的手口
・Command and Control: T1090.003(Proxy: Multi-hop/Tor)根拠=Tor .onion利用とbackconnect構成
・Command and Control: T1573(Encrypted Channel)根拠=Tor/TLSでの暗号化通信
・Exfiltration: T1041(Exfiltration Over C2 Channel)根拠=Tor経由で窃取データ送信
🏢 組織規模別助言
・小規模(〜50名):メール/WEBゲートウェイをMDR付きのクラウド型に集約、広告配信と不審カテゴリの一括ブロック。EDRはマネージド運用を選択し、ブラウザ保存パスワード廃止とMFA徹底。
・中規模(50〜500名):WDAC/Applocker適用、ASRルール全適用、Tor/Egress制御のセグメント単位ロールアウト。SIEMでSysmonログを相関し、疑わしいブラウザDBアクセスを検出。
・大規模(500名〜):脅威インテリジェンス(Zscaler IoC)をTIPで自動配信、プロキシでJA3/JA4・Tor指紋を監視。SOARで隔離/証跡保全プレイブックを自動化、年次レッドチームでSEO/広告経由侵入演習。
🔎 類似事例
・Operation Endgameで同時に撹乱対象となったIcedID、Pikabot、Bumblebee、SmokeLoaderの再建事例
・QakBot/Emotet/IcedID/BatLoaderによるSEOポイズニング/マルバタイジング連鎖からのランサム展開
・(関連CVEsの例:直接のDanaBot悪用を示すものではないが)CVE-2023-36025、CVE-2024-21412などSmartScreen回避の悪用は、近年の広告/検索誘導型マルウェア配布で広く観測
🧭 次の一手
・Zscaler ThreatLabzの最新IoCを導入し、プロキシ/EDR/SIEMに即時反映
・Sysmonベースのハンティング(不審なブラウザDBアクセス、Tor指紋、LOLBins連鎖)クエリを整備
・ASR/WDAC/Applockerの段階適用計画を作り、パイロット→全社展開へ
・インシデント対応手順(Tor通信検知時の端末隔離・資格情報リセット・ウォレット凍結)の演習を実施
